Oracle’ning iyul yangilanishi: 309 ta zaiflik bartaraf etildi, 145 tasi masofadan ekspluatatsiyalanishi mumkin
🔐 2025-yil 15-iyul kuni Oracle kompaniyasi o‘z mahsulotlariga oid navbatdagi Critical Patch Update (CPU) to‘plamini chiqardi. Bu yangilanishda jami 309 ta xavfsizlik zaifligi tuzatilgan bo‘lib, ularning 145 tasi masofadan autentifikatsiyasiz ekspluatatsiyalanishi mumkin — bu esa global korxonalar uchun jiddiy tahdid deganidir.
Bu kvartal yangilanishi Oracle’ning 34 ta yirik mahsulot oilasini qamrab oladi. Ayniqsa, Oracle Communications, MySQL va Fusion Middleware mahsulotlarida aniqlangan zaifliklar xavotir uyg‘otmoqda.
Muhim jihatlar:
- 🛡 309 ta zaiflik bartaraf etilgan;
- 🌐 145 ta zaiflik autentifikatsiyasiz, masofadan foydalanilishi mumkin (RCE);
- 🔥 Eng jiddiy zaifliklardan biri — CVE-2025-50067 (CVSS: 9.0) — APEX’ni to‘liq tizim darajasida buzishga imkon beradi;
- 📊 MySQL, Java SE, WebLogic Server kabi keng tarqalgan xizmatlar ham ta’sirlangan;
- ⏳ Ba’zilar allaqachon yovuz niyatli shaxslar tomonidan ekspluatatsiya qilinmoqda.
Eng ko‘p zaifliklar aniqlangan mahsulotlar:
| Mahsulot guruhi | Zaifliklar soni |
|---|---|
| Oracle Communications | 112 |
| MySQL | 40 |
| Fusion Middleware | 31 |
| Oracle Database | 25 |
| Java SE | 11 |
| APEX (Application Express) | 5 |
Eng jiddiy zaifliklar:
- CVE-2025-30751 (CVSS 8.8) – Oracle Database Server’ning 19.3-23.8 versiyalariga taalluqli; tarmoq orqali kam imtiyoz bilan amalga oshiriladigan hujum orqali maxfiylik, yaxlitlik va tizim mavjudligiga tahdid tug‘diradi.
- CVE-2025-50067 (CVSS 9.0) – Oracle APEX’dagi Strategic Planner Starter App modulida mavjud; masofadan turgan holda tizimni to‘liq buzishga olib kelishi mumkin.
- CVE-2025-50059 (CVSS 8.6) va CVE-2025-30749 (CVSS 8.1) – Java SE’dagi zaifliklar orqali Java ilovalari, xususan sandbox va WebStart asosidagi ilovalar buzilishi mumkin.
Korporativ Ilovalar va Bulut xizmatlari tahdid ostida
- Fusion Middleware’dagi Apache Commons BeanUtils kutubxonasi zaifligi (CVE-2025-48734, CVSS: 8.8) masofadan kod bajarishga imkon beradi.
- WebLogic Server’dagi CVE-2025-30762 zaifligi T3 va IIOP protokollariga taalluqli bo‘lib, bu komponentlar orqali serverlar nishonga olinishi mumkin.
- MySQL’dagi 40 ta zaiflik orasida DML va optimizer bo‘yicha muammolar mavjud bo‘lib, ularni ekspluatatsiya qilish orqali xizmatdan foydalanishni to‘xtatish (DoS) holatlari sodir bo‘lishi mumkin.
Tavsiya etilgan chora-tadbirlar:
✅ Xavfsizlik yangilanishlarini darhol o‘rnatish;
✅ CVSS bahosi 7.0 dan yuqori bo‘lgan 131 ta muhim zaiflikka alohida e’tibor qaratish;
✅ Internetga ochiq xizmatlar, ma’lumotlar bazalari va middleware tizimlariga ustuvorlik berish;
✅ Patch-management jarayonlarini muntazam va avtomatlashtirilgan tarzda olib borish.
Kelgusi CPU chiqarilish sanalari:
- 2025-yil 21-oktabr
- 2026-yil yanvar, aprel va iyul oylarida
Oracle kompaniyasining iyul oyi uchun chiqargan xavfsizlik yangilanishi — nafaqat soni, balki mazmuni jihatidan ham so‘nggi yillarning eng muhim e’lonlaridan biridir. Ayniqsa, masofadan foydalanuvchi ishtirokisiz amalga oshirilishi mumkin bo‘lgan zaifliklar sonining ko‘pligi, korxonalar uchun real va bevosita xavfni anglatadi.
Zamonaviy tahdidlar fonida vaqtida yangilanishni amalga oshirish — nafaqat ma’lumotlarni, balki butun IT-infratuzilmani himoya qilish uchun hal qiluvchi omildir.
